Freigeben über


Erstellen einer Richtlinie für bedingten Zugriff

Wie im Artikel Was ist bedingter Zugriff? erläutert, ist eine Richtlinie für bedingten Zugriff eine If-Then-Anweisung mit Zuweisungen und Zugriffssteuerungen. Eine Richtlinie für bedingten Zugriff führt Signale zusammen, um Entscheidungen zu treffen und Organisationsrichtlinien zu erzwingen.

Wie erstellt eine Organisation diese Richtlinien? Was ist erforderlich? Wie werden sie angewendet?

Diagramm: Konzept der Signale des bedingten Zugriffs sowie Entscheidung zum Erzwingen der Organisationsrichtlinie.

Auf einzelne Benutzende können jederzeit mehrere Richtlinien für bedingten Zugriff angewandt werden. In diesem Fall müssen alle geltenden Richtlinien erfüllt werden. Wenn beispielsweise eine Richtlinie die Multi-Faktor-Authentifizierung und eine weitere Richtlinie ein konformes Gerät erfordert, müssen Sie die MFA durchführen und ein konformes Gerät verwenden. Alle Zuweisungen sind logisch per UND-Operator verbunden. Wenn Sie mehr als eine Zuweisung konfiguriert haben, müssen die Bedingungen aller Zuweisungen erfüllt sein, damit eine Richtlinie ausgelöst wird.

Wenn eine Richtlinie ausgewählt ist, bei der „Eine der ausgewählten Steuerungen anfordern“ ausgewählt ist, wird in der definierten Reihenfolge eine Eingabeaufforderung angezeigt, sobald die Richtlinienanforderungen erfüllt sind. Der Zugriff wird gewährt.

Alle Richtlinien werden in zwei Phasen erzwungen:

  • Phase 1: Sammeln von Sitzungsdetails
    • Sammeln Sie Sitzungsdetails wie Netzwerkstandort und Geräteidentität, die für die Richtlinienauswertung benötigt werden.
    • Phase 1 der Richtlinienauswertung gilt für aktivierte Richtlinien sowie für Richtlinien im Modus Nur Bericht.
  • Phase 2: Erzwingung

Zuweisungen

Im Teil „Zuweisungen“ wird das „Wer“, „Was“ und „Wo“ der Richtlinie für bedingten Zugriff gesteuert.

Benutzer und Gruppen

Mit Benutzer und Gruppen legen Sie fest, welche Personen bei Anwendung der Richtlinie einbezogen oder ausgeschlossen werden. Diese Zuweisung kann alle Benutzer, bestimmte Benutzergruppen, Verzeichnisrollen oder externe Gastbenutzer einschließen.

Zielressourcen

Zielressourcen können Cloudanwendungen, Benutzeraktionen oder Authentifizierungskontexte, die der Richtlinie unterliegen, ein- oder ausschließen.

Network

Unter Netzwerk finden Sie IP-Adressen, geografische Regionen und das mit Global Secure Access kompatible Netzwerk mit Richtlinienentscheidungen für bedingten Zugriff. Administratoren können wahlweise Standorte definieren und einige davon als vertrauenswürdig kennzeichnen, z. B. diejenigen für die primären Netzwerkstandorte ihrer Organisation.

Bedingungen

Eine Richtlinie kann mehrere Bedingungen enthalten.

Anmelderisiko

Bei Organisationen mit Microsoft Entra ID Protection können die dort generierten Risikoerkennungen Ihre Richtlinien für den bedingten Zugriff beeinflussen.

Geräteplattformen

Organisationen mit mehreren Betriebssystemplattformen für ihre Geräte möchten möglicherweise bestimmte Richtlinien auf unterschiedlichen Plattformen erzwingen.

Die zum Berechnen der Geräteplattform verwendeten Informationen stammen aus nicht überprüften Quellen wie Benutzer-Agent-Zeichenfolgen, die geändert werden können.

Client-Apps

Die Software, die der Benutzer verwendet, um auf die Cloud-App zuzugreifen, Beispielsweise „Browser“ und „Mobile Apps und Desktopclients“. Standardmäßig gelten alle neu erstellten Richtlinien für bedingten Zugriff für alle Client-App-Typen, auch wenn die Client-Apps-Bedingung nicht konfiguriert ist.

Filtern nach Geräten

Mit diesem Steuerelement können bestimmte Geräte anhand ihrer Attribute in einer Richtlinie adressiert werden.

Zugriffssteuerung

Die Zugriffssteuerung der Richtlinie für bedingten Zugriff ist der Teil, der steuert, wie eine Richtlinie erzwungen wird.

Erteilen

Erteilen bietet Administratoren eine Möglichkeit zur Richtlinienerzwingung, bei der sie den Zugriff blockieren oder gewähren können.

Zugriff blockieren

„Zugriff blockieren“ bewirkt genau dies. Der Zugriff wird unter den angegebenen Zuweisungen blockiert. Das Blockieren des Zugriffs ist ein leistungsstarkes Steuerelement, das nur mit entsprechenden Kenntnissen eingesetzt werden sollte.

Gewähren von Zugriff

Das Steuerelement zum Gewähren des Zugriffs kann die Erzwingung von mindestens einem weiteren Steuerelementen auslösen.

  • Erzwingen der mehrstufigen Authentifizierung
  • Als kompatibel markierte Geräte (Intune) erforderlich
  • Microsoft Entra hybrid eingebundenen Gerät erforderlich
  • Genehmigte Client-App erforderlich
  • App-Schutzrichtlinie erforderlich
  • Kennwortänderung anfordern
  • Vorschreiben der Verwendung von Nutzungsbedingungen

Administratoren können mithilfe der folgenden Optionen auswählen, ob eins der obigen Steuerelemente oder alle ausgewählten Steuerelemente erforderlich sind. Als Standardwert für mehrere Steuerelemente werden alle als erforderlich ausgewählt.

  • Alle ausgewählten Steuerelemente erforderlich (Steuerelement UND Steuerelement)
  • Eins der ausgewählten Steuerelemente erforderlich (Steuerelement ODER Steuerelement)

Sitzung

Sitzungssteuerelemente können die Benutzererfahrung einschränken.

  • Von der App erzwungene Einschränkungen verwenden:
    • Funktioniert derzeit nur mit Exchange Online und SharePoint Online.
    • Übergibt Geräteinformationen, um das Gewähren von vollständigem oder eingeschränktem Zugriff auf die Umgebung zu steuern.
  • App-Steuerung für bedingten Zugriff verwenden:
    • Verwendet Signale von Microsoft Defender für Cloud Apps, um beispielsweise:
      • Blockiert das Herunterladen, Ausschneiden, Kopieren und Drucken von sensiblen Dokumenten.
      • Überwacht das Verhalten riskanter Sitzungen.
      • Erzwingt das Bezeichnen von sensiblen Dateien.
  • Anmeldehäufigkeit:
    • Möglichkeit zum Ändern der standardmäßigen Anmeldehäufigkeit für die moderne Authentifizierung.
  • Persistente Browsersitzung:
    • Benutzer können angemeldet bleiben, nachdem sie ihr Browserfenster geschlossen und erneut geöffnet haben.
  • Fortlaufende Zugriffsevaluierung anpassen
  • Standardwerte für Resilienz deaktivieren

Einfache Richtlinien

Eine Richtlinie für bedingten Zugriff muss mindestens Folgendes enthalten, um erzwungen werden zu können:

  • Name der Richtlinie.
  • Zuweisungen
    • Benutzer und/oder Gruppen, auf die die Richtlinie angewendet werden soll.
    • Cloud-Apps oder Aktionen, auf die die Richtlinie angewendet werden soll.
  • Steuerelemente
    • Steuerelemente für Gewähren oder Blockieren

Leere Richtlinie für bedingten Zugriff

Der Artikel Allgemeine Richtlinien für bedingten Zugriff enthält einige Richtlinien, die für die meisten Organisationen nützlich sein könnten.